Une solide culture de la sécurité

Publié le: 14 avril 2021
Retour aux news

Interview de Fabrine Frestel, 

« Je travaille depuis 2013 chez MGI ; j’y ai notamment assuré les postes de chef de projet Menu chargeur et de responsable de la cellule ARROW, qui a établi le cahier des charges de Ci5 en matière de design, sécurité et usages de demain. En 2016, MGI a été une des premières Entreprises de Service Numérique et pionnière en sécurité de l’information, à obtenir la certification ISO 27001 en 2017 et son renouvellement en 2020.

Durant cette période, j’étais responsable de la qualité mais également de la qualification de nos produits. Je veillais déjà en partie sur le système de management de la sécurité de l’information, et sur son amélioration continue chez MGI. »

Depuis février 2021 et compte tenu des menaces de cyberattaques dans notre écosystème, je suis, à part entière, Responsable de sécurité des systèmes de l’information (R.S.S.I), et mon périmètre s’est étendu à la cyberdéfense.

Menace cyber : le risque zéro n’existe pas 

Dans le domaine maritime, le risque cyber figure aujourd’hui au quatrième rang, juste après les catastrophes naturelles, et même les plus grandes compagnies n’y échappent pas.

On répertorie trois types de risques  :

  • la violation des données ;
  • les attaques dites ransomware, dans lesquelles un logiciel malveillant prend en otage des données ;
  • les mauvaises manipulations informatiques d’employés, par manque de vigilance ; un risque amplifié par le télétravail.

À la clé, des coûts souvent considérables dus à la perte d’activité ainsi qu’au redémarrage des systèmes d’information. Pour limiter les risques, Ci5, la nouvelle génération de Ports Community Systems, a été développée via les concepts DevOps, Docker et Container, dernières technologies du cloud, en y incluant des composants issus de la blockchain.

Pour sécuriser la disponibilité de nos produits, nous avons décidé de les héberger chez AWS (Amazon Web Services) avec une redondance sur plusieurs périphériques ; les data sont sauvegardées sur des sites distincts, ce qui évite aux clients de les perdre, notamment en cas d’incendie dans un de nos datacenters.

En plus de ces dispositions, AWS propose une architecture logicielle très sûre, basée sur la cryptographie ; ainsi, à chaque transaction avec nos clients, des certificats sont échangés pour prouver l’identité de l’utilisateur. Le client final ne voit pas ces échanges, et bénéficie simplement d’une solution ultra-sécurisée.

La disponibilité, l’intégrité et la confidentialité des données de nos clients sont notre priorité et sont reprises dans notre Plan de Continuité. Mais nous ne sommes pas à l’abri d’une faille ; c’est pourquoi nous avons instauré des procédures de contrôle et de sauvegarde, évaluées de façon régulière, et sensibilisé nos collaborateurs aux bonnes pratiques de prévention. 

99% des cyberattaques passent par l’homme

Depuis cinq ans, nous formons en interne nos équipes à la sécurité des systèmes d’information. Depuis peu nous simulons des campagnes de phishing (hameçonnage), grâce à un nouvel outil   de notre partenaire MailinBlack, afin de démontrer à nos collaborateurs combien un virus peut vite entrer, infecter et paralyser nos systèmes. Par exemple, le ranconware, qui exige le paiement d’une rançon en échange du rétablissement des accès est une des attaques les plus fréquentes depuis ces derniers mois, avec l’augmentation du télétravail, les cybercriminels n’hésitent pas à intimider les utilisateurs en se faisant passer pour une banque, la police, les impôts…. Nos équipes sont de plus en plus conscientes des risques et adoptent Les bonnes pratiques pour optimiser notre cybersécurité !

Nous menons auprès de nos équipes des actions ludiques et motivantes ; nous organisons des quizz dont les vainqueurs gagnent une bouteille de champagne, ou des cafés ISO qui réunissent quelques collaborateurs autour d’un petit déjeuner. Car on apprend nettement mieux dans une bonne ambiance. Dans le cadre de notre gouvernance, nous tenons également des comités SSI mensuels ; les pilotes de processus y présentent leurs KPI de performance et nous faisons le point sur les incidents et actions correctives mises en place et pour les nouveaux arrivants, nous réalisons une sensibilisation sécurité.

La sécurité numérique : une culture à diffuser

Enfin, la cyberdéfense est fortement intégrée dans notre culture d’entreprise, et nous souhaitons la partager avec nos clients et utilisateurs. Nous réfléchissons aux dispositions à mettre en œuvre avec des associations professionnelles comme l’UMF  et/ou le Grand Port Maritime à Marseille et des autorités gouvernementales et publiques comme l’ANSSI ou le Secrétariat Général de la mer en région et au plan national.

Et pour tout savoir de l’actualité cyber, suivez notre newsletter !

Pour toute question sur la cybersécurité ou si vous souhaitez voir traiter des sujets particuliers, envoyez un mail à f.frestel@gyptis.fr

 Notre conseil Veille réglementaire SSI : https://www.ssi.gouv.fr  https://www.cybermalveillance.gouv.fr

POST A COMMENT

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You may use these HTML tags and attributes:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

* Cette case à cocher est obligatoire

*

J'accepte

quatre × quatre =